Um servidor mal configurado expôs credenciais de acesso a mais de 73 mil firewalls FortiGate ao redor do mundo. A brecha chegou a afetar dispositivos de multinacionais como Samsung, Foxconn, Comcast, Siemens, Oracle e dezenas de agências governamentais. A descoberta foi feita pelo pesquisador de segurança Bob Diachenko, que encontrou o banco de dados aberto e compartilhou os dados com a empresa de inteligência Hudson Rock para análise.
O conjunto de dados, batizado de FortiBleed, contém nomes de usuário, endereços de e-mail e senhas em texto simples de 73.932 URLs únicas de firewall, distribuídas por 194 países e 21.632 domínios distintos. Os setores mais afetados incluem telecomunicações, serviços de TI, governo, saúde, instituições de ensino e indústria.
smart_display
Nossos vídeos em destaque
O FortiGate é um equipamento de segurança fabricado pela Fortinet, empresa americana especializada em cibersegurança. Basicamente, ele funciona como uma “porteira digital” da rede de uma empresa, controlando quem pode entrar e o que pode sair. Grandes organizações usam esses dispositivos para proteger seus sistemas internos, incluindo redes corporativas, servidores e dados confidenciais.
Como os atacantes obtiveram as credenciais
Segundo Diachenko, a operação foi conduzida por um grupo de língua russa que atacou ativamente dispositivos FortiGate em escala massiva. Os criminosos teriam realizado aproximadamente 1,16 bilhão de tentativas de autenticação contra 320.777 alvos FortiGate e mais 2,1 bilhões de tentativas contra 163.650 servidores Microsoft SQL.
O método usado incluiu a interceptação de hashes de autenticação SSL VPN, que são basicamente “impressões digitais criptografadas” das senhas. Esses hashes foram quebrados usando um cluster de 45 placas de vídeo (GPUs) gerenciado por um software chamado Hashtopolis, recuperando as senhas originais.
)
Com elas em mãos, os atacantes se moviam lateralmente pelas redes internas das vítimas, basicamente se espalhando de um sistema para outro como se fossem funcionários legítimos.
O pesquisador obteve esses detalhes porque os próprios criminosos deixaram uma pasta aberta no mesmo servidor, com scripts, logs, histórico de comandos e outros artefatos da operação.
Pesquisadores confirmam que os dados são reais
O pesquisador Kevin Beaumont revisou parte dos dados de forma independente e confirmou a autenticidade de vários logins e senhas administrativos. Segundo ele, o conjunto de dados contém credenciais de cerca de 75 mil dispositivos Fortinet, a maioria ainda online.
Beaumont também concluiu que os dados parecem ter origem em arquivos de configuração exportados dos próprios dispositivos, isso porque contêm informações, como endereços de e-mail, que normalmente só aparecem nesse tipo de arquivo. Ele estimou que o vazamento corresponde a aproximadamente metade de todos os firewalls Fortinet acessíveis pela internet.
Os endereços IP afetados são diferentes dos que apareceram no vazamento do grupo Belsen, divulgado em 2025, o que indica que o FortiBleed é mais recente e maior.
)
O mesmo tipo de vulnerabilidade que afetou a JBS
O caso guarda semelhança direta com o ataque à JBS investigado pelo TecMundo em março de 2026. No incidente da empresa frigorífica, o grupo Coinbasecartel obteve acesso à rede corporativa por meio de um link exposto do FortiReset, ferramenta da linha FortiGate que, sem proteção adequada, permite redefinir credenciais administrativas do equipamento.
Na ocasião, o vetor de entrada foi facilitado por um funcionário da própria JBS, caracterizando o que a área de cibersegurança chama de insider threat, ou ameaça interna. Mas o princípio de risco é o mesmo em ambos os casos: credenciais de dispositivos FortiGate comprometidas abrem caminho direto para o interior das redes corporativas.
)
Quais países estão mais afetados
De acordo com a Hudson Rock, os países com maior número de dispositivos impactados são Índia, Estados Unidos, Taiwan e México. O Brasil é o 11° país mais afetado pelo vazamento.
O banco de dados dos atacantes também incluía anotações sobre o setor de atuação, faturamento e número de funcionários de cada organização listada, indicando que as informações eram usadas para priorizar alvos.
)
O que fazer se sua empresa usa dispositivos Fortinet
A Hudson Rock disponibilizou uma ferramenta gratuita chamada FortiBleed Lookup para que organizações verifiquem se estão na base de dados. A recomendação imediata é trocar todas as senhas associadas a interfaces VPN e administrativas da Fortinet, ativar autenticação em múltiplos fatores (MFA), revisar os logs dos equipamentos em busca de acessos suspeitos e monitorar se credenciais de funcionários foram expostas.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.